Mag een muziekdistributiedienst eisen dat ik mijn auteursrecht opoffer om AI mee te trainen?

Photo by Baher Khairy on Unsplash

Een lezer vroeg me:

Bij steeds meer muziekdistributiediensten staat in de voorwaarden dat je muziek gebruikt mag worden om AI diensten te trainen. Bij sommige diensten heb je nog een opt-out optie maar bij bijvoorbeeld Soundcloud kan dat niet en staat er dit standaard in de gebruiksvoorwaarden. Hierdoor kan dus je muziek gebruikt worden om AI te trainen en muziek te genereren zonder dat daar royalty’s voor worden afgedragen. Mag dat zo maar?
Ja, dat mag. Het auteursrecht is wat dit betreft makkelijker te passeren dan bijvoorbeeld de omgang met persoonsgegevens onder de AVG.

Hoofdregel is natuurlijk dat je als dienstverlener niets mag met content van je klant, wat net zo goed geldt bij een dienst als Soundcloud waar je muziek uploadt om deze te distribueren en te ontsluiten naar een groot nieuw publiek.

Het is echter al heel lang algemeen aanvaard dat je in gebruiksvoorwaarden een licentie of gebruiksrecht kunt geven aan een dienstverlener. Dat hoeft niet met een apart contract en er hoeft zelfs geen vergoeding tegenover te staan. Een zinnetje zo simpel als “U geeft een onbeperkte licentie aan Soundcloud door het uploaden van uw werk” is dus juridisch bindend én genoeg voor zo’n dienstverlener.

Er is geen mogelijkheid hier wat tegen te doen, bijvoorbeeld door bij de upload een voorbehoud te maken of dit apart te melden. Natuurlijk kán het bedrijf je een uitzondering geven, maar gezien het juridisch uitgangspunt is er geen reden voor ze om dat te doen. De enige optie is geen Soundcloud gebruiken als die voorwaarde je niet bevalt.

Voor hele grote platforms zijn er sinds een tijdje de DSA en DMA, die beiden regels bevatten om het een beetje eerlijk te houden. Maar geen van die twee Europese verordeningen stelt grenzen aan wat men in een auteursrechtlicentie mag opeisen.

Arnoud

Wordt mijn huis een ‘werkvloer’ van de AVG als de ADL-assistente langskomt?

Photo by Kara Eads on Unsplash

Een lezer vroeg me:

Mijn partner krijgt ADL-zorg bij haar thuis, die 24/7 oproepbaar is. Vnawege zorgen over haar welzijn heb ik enkele camera’s opgehangen. Nu meldt de ADL-leverancier dat dit niet meer toegestaan, omdat ik dan in strijd met de AVG handel door hun werknemers te filmen. Mijn huis wordt volgens hen “aangemerkt als werkvloer” en ik moet de camera’s weghalen. Klopt dat?
ADL-assistentie is gedurende het hele etmaal direct oproepbare persoonlijke assistentie bij algemene dagelijkse levensverrichtingen (ADL) in en om de woning. Dit gebeurt door professionals die via zorgaanbieders worden ingezet.

Omdat het hier gaat om werknemers, heeft de werkgever inderdaad een zorgplicht om hen een veilige werkomgeving te bieden. Beschermen van hun privacy en een zorgvuldige omgang met hun persoonsgegevens valt daaronder. En omdat er steeds vaker incidenten zijn met cliënten (of hun partners) die met al dan niet verborgen camera’s filmen, zie ik daar steeds meer aandacht voor.

Allereerst is het strafbaar om mensen in een besloten omgeving (zoals een werkvloer of een woonhuis) te filmen met een verborgen camera. En ten tweede moet degene die filmt dit onder de AVG recht kunnen breien.

Op een ‘gewone’ werkvloer is dit geen nieuwe discussie, maar als het werk bij iemand thuis wordt gedaan dan wordt het iets lastiger. Je mag namelijk in je eigen huis cameratoezicht inzetten en dan val je buiten de AVG (Rynes-arrest). Maar als er iemand bij jou thuis komt werken, heeft die recht op een veilige werkomgeving.

De opmerking “aangemerkt als werkvloer” is denk ik een poging om te betogen dat het huis tijdens het werk buiten de scope van dat Rynes-arrest valt. Maar ook als dat wél een toegestaan privé-verwerking onder de AVG zou zijn: het punt blijft dat de werknemer niet zomaar gefilmd mag worden tijdens het werk.

“Camera uit als de assistente binnenkomt” is het voor de hand liggende compromis, alleen is dat lastig omdat je vaak niet kunt zien dat de camera’s uit staan. Er snel even een doekje overheen hangen lukt ook niet altijd, dus dan blijft de harde afspraak “geen camera’s in huis” over als uitgangspunt.

Een mogelijkheid is om op voorhand het gesprek aan te gaan met de zorginstelling, uit te leggen waar de camera’s wél voor zijn en duidelijk af te spreken dat ze uit zullen zijn bij bezoek. Misschien is er zelfs een knop te maken die men kan indrukken en die de camera’s uit zet?

Arnoud

 

 

Roodkapje proberen te versieren met een camerabril, mag dat?

Bron: Omroep Brabant, auteursrechtvrij

Een man die zichzelf ‘versiercoach’ noemt plaatst al maanden filmpjes op social media, las ik bij Omroep Brabant. Hierop is te zien hoe hij meisjes en vrouwen op straat in Eindhoven, in de kroeg of in de Efteling aanspreekt. De camerabril filmt alles en dat gaat op een Telegramkanaal waar hij ‘versiertips’ deelt met andere mannen.

Roodkapje uit de titel was niet een acteur uit de Efteling maar zo te lezen ‘gewoon’ iemand die daar verkleed op bezoek was. Maar hoe dan ook, op mensen afstappen met ‘You look really nice’ of ‘Do you have a boyfriend?’ is natuurlijk creepy en raar, zeker als je zonder dat te zeggen er een cursus pick up artist mee vult.

Strafrechtelijk is er weinig aan te doen, omdat de man weggaat als iemand aangeeft er niet van gediend te zijn. Filmen aan de openbare weg is niet verboden, ook niet als je dat stiekem doet. Alleen met een aangebrachte camera wordt dat anders. Maar als een dashcam niet “aangebracht” is, dan is een bril dat ook niet.

(Doxing is het ook niet, want de persoonsgegevens van de gefilmde mensen worden niet gebruikt om hen te intimideren of te hinderen bij hun werk.)

De AVG geldt hier in principe wel. Dit valt buiten de uitzondering voor persoonlijk gebruik, omdat de video’s worden gedeeld met anderen in een semi-zakelijke context (een cursus/instructie).

Het enige waar ik over twijfel, is of hier de uitzondering voor journalistiek opgaat. Hoe creepy ook, het is een verbreiding van feiten, meningen en ideeën, een verslaggeving dus. Het grondrecht van de informatievrijheid kent geen kwaliteitstoets, en normen als “je moet bij de massamedia werken” of “het moet wel échte journalistiek zijn” gaan niet op.

Arnoud

 

Mag mijn werkgever mijn woonadres verstrekken aan een opleidingsinstituut?

Photo by OpenIcons on Pixabay

Een lezer vroeg me:

Mijn werkgever verplicht me om een training te volgen bij een extern ingehuurd bedrijf. Deze stuurt nu een inschrijfformulier met allerlei vragen, maar ook (verplicht) opgeven van zaken als geboortedatum, geboorteplaats, en privé adres. Ik heb daar bezwaar tegen, kan dit zo worden afgedwongen?
Een werkgever kan natuurlijk mensen op training sturen als dat in het belang is van het werk. De werkgever is dan in principe ook de opdrachtgever van het trainingsbedrijf. Die moet dan de benodigde gegevens verstrekken zoals wie er mee doet.

Dergelijke gegevens vallen al snel onder de AVG, en die kent het principe van dataminimalisatie: relevant en niet meer dan wat noodzakelijk is voor het doel. De namen van cursisten lijken me relevant, je moet weten wie er komen (en wie niet). Functietitels lijken me ook van belang voor de voorbereiding, eventuele dieetwensen kunnen nodig zijn et cetera.

Het privéadres en geboortedatum/plaats van de werknemers die komen lijkt me op geen enkele manier relevant. Ik kan me nog nét voorstellen dat je leeftijd nodig hebt, het beïnvloedt je les als je een groep vroege twintigers hebt of juist een club mensen net voor hun pensioen zeg maar.

Geboorteplaats vind ik een rare, ik zou geen cursus weten waarin het uitmaakt waar de cursist geboren is. Het voelt als een indirecte manier om het verboden gegeven van etnische afkomst uit te vragen.

Mijn vermoeden is dat het trainingsbedrijf simpelweg hun standaard inschrijfformulier opstuurde, zoals je ook zou krijgen als je zelf (buiten het werk om dus) die training zou boeken. En dan is het privéadres ineens relevant, omdat je wilt weten waar het incassobureau naar toe moet als men niet betaalt. Of er worden boeken e.d. opgestuurd en men denkt dat het handig is dat je die thuis krijgt.

Een simpele oplossing is bij de adresgegevens je werkplek in te vullen, zodat eventuele cursusmaterialen daarheen gaan. Bij geboortedatum kun je iets fictiefs in de buurt invullen zodat de leeftijd ongeveer klopt, en bij geboorteplaats zet je “onbekend” of de plaats waar je bedrijf opgericht is.

Mocht de werkgever van plan zijn je wérkelijke gegevens hiervoor te verstrekken, dan zou dat een behoorlijk probleem zijn. HR heeft die gegevens natuurlijk voor de personeelsadministratie (en geboorteplaats mag dan, in het kader van diversiteitsbeleid/positieve discriminatie) maar mag ze niet verstrekken aan een opleider zonder dat er een duidelijke noodzaak is.

Af en toe krijg ik vragen van mensen die extra bezorgd zijn over hun woonadres, bijvoorbeeld omdat ze last hebben van een stalker. Dat zou ook in deze context tot zorgen kunnen leiden. Helaas lijken er geen HRM-softwarepakketten te zijn waarbij men een vlaggetje kan zetten “Onder geen voorwaarde aan derden verstrekken zonder toestemming” bij gegevens van een werknemer. Je moet dus maar hopen dat HR volgens de regels werkt, en in gevallen als deze snap ik dat men daar dan knap zenuwachtig over wordt.

Arnoud

Achterafbetaaldienst Klarna verdient aan incassokosten, oordeelt rechter, en dat maakt ze ongeldig (de incassokosten, niet Klarna)

Photo by Jakub ?erdzicki on Unsplash

De kosten die achterafbetaaldienst Klarna in rekening brengt wanneer iemand te laat is met betalen, maken deel uit van het verdienmodel van het bedrijf. Dat meldde de NOS onlangs. En dat is een juridisch probleem: dan is er sprake van een consumentenkrediet dat op ongeldige manier tot stand kwam.

De zaak begon zoals zo vele. Een consument kocht wat bij een webwinkel en koos voor uitgestelde betaling via Klarna, maar betaalde vervolgens niet. Naar de rechter dus, en omdat het hier gaat om consumentenrecht moet de kantonrechter dan de zaak ambtshalve onderzoeken – dus ook als de consument zich niet verzet en zelfs als die niets laat horen (verstek).

Dat gebeurde in een tussenvonnis, waarin de rechter constateert dat achteraf betalen een vorm van consumentenkrediet is. Dat is belangrijk, want dan gaan extra beschermende regels gelden zoals een kredietwaardigheidstoets en een serie informatieplichten. Er is echter een uitzondering: een kredietovereenkomst waarbij het krediet binnen drie maanden moet worden terugbetaald en waarvoor slechts onbetekenende kosten kunnen worden aangerekend.

Het Hof van Justitie had eind 2024 geoordeeld dat bij achterafbetaling zoals hier je in principe in die uitzondering valt. Echter, zoals de kantonrechter het hier formuleert:

Dit kan anders zijn als de kredietverstrekker er, teneinde een economisch voordeel te verkrijgen, vanaf de sluiting van de kredietovereenkomst op anticipeert dat de consument de betalingsverplichting niet zal nakomen.
De bedoeling van de wetgever was om een uitzondering te creëren voor simpele koop-nu-betaal-later-met-toeslag situaties. Maar partijen als Klarna (en Riverty, uit het HvJ arrest) maken er een verdienmodel van door met rente en andere kosten significant meer te verdienen dan enkel dat beetje toeslag. En dat mag maar dan ben je gewoon een kredietverstrekker, en moet je je aan de regels daarvan houden.
De kantonrechter wijst er in dit verband op dat in het rapport van de Autoriteit Financiële Markten (AFM), waarnaar in het tussenvonnis is verwezen, met zoveel woorden is vermeld dat het verdienmodel van zogenoemde ‘buy now pay later’-aanbieders (waartoe ook de kredietverstrekker in deze procedure behoort) verschilt, maar dat een aantal aanbieders een substantieel deel van hun inkomsten verdient met het in rekening brengen van kosten aan consumenten die te laat betalen. Volgens de AFM zijn die kosten meer dan kostendekkend voor de werkzaamheden die deze aanbieders daar tegenover stellen, zijn ze voor die aanbieders zelfs winstgevend en vormen ze een wezenlijk deel van hun verdienmodel.
Vanwege deze constatering kan de kredietverstrekker zich dus niet op de uitzondering beroepen. En omdat er bij de achterafbetaalkeuze niet aan de informatieplichten en kredietwaardigheidstoets is voldaan, wordt de kredietovereenkomst vernietigd. Oftewel: geen rente, incassokosten en dergelijke verschuldigd.

De hoofdsom wel, want uiteindelijk hád de consument iets gekocht en dan moet je betalen. Maar ook dan onderzoekt de rechter ambtshalve of het allemaal wel goed gegaan is. Quod non, zoals juristen dan zeggen:

  • Op de bevestigingspagina stond niet de naam van de shop (Shein) maar de naam Zoetop Business Co Limited, wie dat ook moge wezen. En als je onderaan de Shein-pagina het colofon opent, gaat het ineens over Infinite Styles Ecommerce Co Ltd. Onduidelijkheid over de identiteit van de koper is een essentieel probleem.
  • De bij de dagvaarding gevoegde algemene voorwaarden waren recenter dan de dag van aankoop, zodat niet na te gaan is onder welke voorwaarden is gecontracteerd.
  • Volgens de dagvaarding vermeldt de bestelknop “Bestelling plaatsen”, maar screenprints zeggen “Plaats bestelling”. En geen van beide is duidelijk genoeg om aan te geven dat er een betalingsverplichting ontstaat bij het plaatsen van de bestelling. in de’, waarmee volgens de eisende partij voldoende duidelijk zou zijn gemaakt dat met het klikken op die knop een betalingsverplichting is aangegaan.
  • Oh ja, en ná die plaats-knop kwamen er nog knoppen “afrekenen” en “kopen”, waardoor het extra verwarrend wordt wanneer je nou precies de overeenkomst sluit en wanneer je de betalingsverplichting aangaat.
  • Onduidelijk is hoe de wettelijk verplichte  bestelbevestiging eruit ziet, waarin zaken moeten staan als de naam van de verkoper, een specificatie van de gekochte producten, de koopprijs, eventuele verzendkosten, informatie over de wijze van levering en de leveringstermijn, een pdf met daarin informatie over het herroepingsrecht en linkjes naar online hulp.
Vanwege deze tekortkomingen verlaagt de kantonrechter het te betalen bedrag met 60%, zodat de consument nog maar € 25,49 hoeft te betalen voor de spullen.

Niet vermeld is hoe veel de kwijtgescholden achterafbetaalkosten waren. En dat is jammer en wrang, want de consument wordt met deze betalingsverplichting alsnog in het ongelijk gesteld en moet dan € 303,54 proceskosten betalen.

Arnoud

Kan ik mijn paspoort als gestolen opgeven als een kopie daarvan in een datalek zat?

Passport collection, Flickr, CC-BY

Een lezer vroeg me:

Ik las dat er bij mijn vorige werkgever mogelijk digitale kopieën van identiteitsbewijzen zijn buitgemaakt in het kader van een recent datalek. Ik ben nog in het bezit van mijn fysieke identiteitsbewijs, maar vermoed dat een digitale kopie van dit document in verkeerde handen is geraakt. Mijn vraag is: kan ik in dit geval mijn identiteitsbewijs als “gestolen” opgeven, ook al heb ik het fysieke exemplaar nog?
Van diefstal van je identiteitsbewijs is geen sprake, want zoals de vraagsteller zelf aangeeft is het fysieke ding nog in zijn bezit. Dus nee, formeel gaat dat niet.

De reden om het als zodanig op te geven, is natuurlijk dat je dan gratis een nieuw krijgt. Dat is belangrijk, omdat zaken als het paspoortnummer dan veranderen zodat het oude niet meer bruikbaar is bij bijvoorbeeld het online openen van een bankrekening. Vraag je zomaar een nieuw paspoort aan, dan kost dat een slordige 165 euro.

Vanuit de rijksoverheid bezien is er niets gebeurd met dat paspoort, dus als je dan een nieuw opvraagt dan zul je moeten betalen. Dat voelt wrang want jij kon niets doen aan dat datalek. Maar in dit specifieke geval moet niet jij maar die ex-werkgever die kosten dragen.

Meestal is het bij datalekken vrij lastig om aan te geven wat je schade is, want op dat moment is er nog geen aanwijsbaar gevolg van het onbevoegd kennisnemen of wissen van persoonsgegevens. Hier is dat er wel: met een kopie paspoort worden allerlei vormen van identiteitsdiefstal mogelijk. De enige reële manier om die tegen te gaan, is het paspoort ongeldig te laten worden. En dat doe je door een nieuw aan te vragen.

Omdat het datalek te wijten is aan de ex-werkgever, heeft deze in juridische zin onrechtmatig gehandeld. De daardoor ontstane schade moet dan worden vergoed, oftewel de prijs van dat paspoort kun je bij die ex-werkgever declareren.

(Heel juridisch bekeken: als het datalek te classificeren is als overmacht – de werkgever had alles gedaan dat redelijkerwijs mogelijk was in haar situatie en tóch werd ze gedatalekt – dan is de werkgever niet schadeplichtig. Maar ik durf wel te zeggen dat de categorie “datalek met overmacht” een buitengewoon kleine is.)

Arnoud

Als een boze klant mijn werknemers googelt, is dat dan strafbaar als doxing?

Photo by Icons8 Team on Unsplash

Een lezer vroeg me:

Deel van het werk van mijn afdeling is het omgaan met boze klanten. Zo nu en dan ontspoort het conflict. De klant googelt op naam van de medewerker en benoemt daarbij dat die ziet dat de medewerker net is afgestudeerd of uit welke stad de medewerker komt en dat de klant daar even langskomt. Is dat strafbaar (doxing?) en kan ik hier als manager wat doen?
Doxing is het publiceren van persoonsgegevens met het doel daarmee die persoon overlast te bezorgen. In een mail melden “ik heb gevonden dat je hier en hier woont en ik kom maandag langs” is dus geen doxing.

Een dergelijk handelen van die klant is wel strafbaar als bedreiging. De implicatie van “langskomen” is hier immers niet dat hij met een bloemetje langskomt. (Het doet er niet toe of iemand letterlijk zegt “ik kom je geweld aan doen”, ondertoon of context weegt ook gewoon mee.)

De bedreigde werknemer mag natuurlijk aangifte doen. Maar als werkgever heb je hier ook een zorgplicht – die van een veilige werkomgeving, iets waar je als goed werkgever voor moet zorgen. Dus als dit met enige regelmaat gebeurt, dan zul je zelf moeten faciliteren dat hier aangifte wordt gedaan en regelen dat de politie het benodigde bewijs krijgt om er wat mee te doen.

Het kan natuurlijk dat de politie niets met de aangifte doet, maar dat die klant wel doorgaat. Dan is de volgende stap dat je als bedrijf – de contractuele wederpartij van de klant  -deze aanspreekt op ongepast gedrag en daar gevolgen aan verbindt.

Ook hier ligt een schone taak voor de manager: welke regels heb je over ongepast klantgedrag, hoe gaan mensen daar mee om (moeten ze op training?) en wanneer leg je welke escalaties op zoals het contract verbreken. In geval van een b2b contract kun je ook overwegen bij de leidinggevende van de klagende klant een klacht neer te leggen, dus te escaleren binnen de contractuele relatie.

Arnoud

Wat moet ik met een dagvaarding over een bestelling die ik niet gedaan heb?

Photo by rupixen on Unsplash

Een lezer vroeg me:

Ik ben daarnet gedagvaard wegens het niet-betalen van een rekening van een webwinkel. Probleem: ik heb daar nooit wat besteld, het lijkt erop dat iemand mijn naam en adres heeft gebruikt en via achterafbetaling het product heeft besteld. Kan ik dit negeren omdat het niet over mij gaat, of moet ik hier wat mee?
Eh ja, hier moet je wat mee. Als je gedagvaard wordt, dan gaat een rechter naar de zaak kijken. En als die oordeelt dat de winkel gelijk heeft, dan moet jij betalen. Als je dán pas met tegenargumenten komt, is dat rijkelijk laat.

Wel is het specifiek bij consumentenzaken zo dat de rechter een aantal dingen standaard (“ambtshalve“) onderzoekt, ook als niemand daar over begonnen is. Maar navragen bij de aangeklaagde partij “heeft u dit echt gekocht” gebeurt alleen als die er ook bij is.

Natuurlijk is het voor jou vrij lastig aan te tonen dat je iets niet besteld hebt. Maar dat hoeft ook niet: de winkel moet aantonen dat jij het wél besteld hebt. Zaken opgegeven bij de bestelling wegen daarin mee, maar als dat alleen algemene dingen zijn als je naam en adres dan is dat zeker niet overtuigend. Zie dit vonnis uit 2023:

Dat er bepaalde gegevens zijn ingevuld bij het plaatsen van een bestelling leidt er daarmee niet direct toe dat [gedaagde] de contractspartij is. Het had op de weg van [eiser] gelegen om na het ingediende verweer van [gedaagde] (aanvullende) gegevens te overleggen waaruit volgt dat [gedaagde] de bestelling wel degelijk heeft geplaatst (en in ontvangst heeft genomen) in plaats van te verwijzen naar hetgeen in de dagvaarding is gesteld. Bijvoorbeeld met een afschrift van de daadwerkelijke orderbevestiging of bewijs waaruit blijkt dat de bestelling is bezorgd op het adres waar [gedaagde] stond ingeschreven.
Iets dergelijks oordeelde ook de rechtbank Rotterdam diverse keren.

Een belangrijke vraag zal zijn waar het pakket is. Ga dus goed na of je écht niet iets gehad hebt op de in de dagvaarding genoemde datum. Je zult de eerste niet zijn die dacht iets voor de buren aan te nemen terwijl jouw huisnummer er op stond. (Een bekende truc is laten afleveren bij nummer 15 en dan met “excuses van nummer 51, typefout” het pakket daar ophalen.)

Hier en daar lees ik dat je wel kunt klagen over identiteitsfraude maar dat men dan eist dat je eerst aangifte gaat doen. Krijg het rambam denk ik dan, en met mij de rechtbank Midden-Nederland.

Arnoud

 

 

Kassa’s Delhaize selecteren door bug producten die klanten niet hebben gekocht

Photo by Tim Samuel on Pexels

Het kassasysteem van de Belgische supermarktketen Delhaize slaat al maanden producten aan die klanten helemaal niet hebben gekocht. Dat meldde Tweakers vorige week. Door een scaninterpretatiefout betalen klanten soms tot tientallen euro’s extra voor een product dat ze niet hebben ontvangen. Hoe zit dat juridisch?

Bij de VRT weten ze meer. De kern van het probleem is dat er naast de gewone streepjescode ook een datamatrix op veel producten staat.

Wanneer de codes langs het oog van een zelfscan of kassa passeren, registreert het systeem van Delhaize soms niet alleen het echte product. De software linkt de datamatrix tegelijkertijd aan een willekeurig product uit het assortiment. Dat extra bedrag verschijnt dan mee op het kasticket. Wanneer jij of een kassamedewerker het probleem niet opmerkt, ga je als klant soms tientallen euro’s lichter naar huis.
Hoe dit precies misgaat, is mij niet duidelijk. De code uit een datamatrix is zeer zeker niet hetzelfde als een EAN-13 uit een gewone streepjescode. Maar goed, het gebeurt en als je het pas thuis merkt, dan wordt het ingewikkeld.

Puur juridisch-theoretisch: je hebt die krat Jupiler niet gekocht, je had alleen een zuurstok in je mandje. Dus was je nooit die prijs van die krat verschuldigd maar slechts vijftig cent. Delhaize moet het verschil dan terugbetalen, net als bij ons heet dat een onverschuldigde betaling.

Praktisch: bewijs het maar. Want er zullen er dan genoeg zijn die met de kassabon met daarop die krat aangeslagen teruggaan en stellen dat ze een zuurstok gekocht hadden en thuis pas merkten 15 euro te hebben betaald. (Het kan, je had haast en je pinde zonder te kijken.)

Helaas geeft het bewijsrecht hier geen nadere regels voor. Vanuit de hoofdregel is de conclusie dat jij als consument moet bewijzen onverschuldigd betaald te hebben (want jij beroept je op het rechtsgevolg, namelijk geld terug).

Je komt natuurlijk meteen in bewijsnood. Maar daar is niet zo veel aan te doen, tenzij duidelijk is dat het bij bepaalde producten systematisch misgaat. Dan is er misschien een sympathieke rechter te vinden die dan oordeelt dat een winkel die zo’n softwarefout heeft, de gevolgen daarvan moet dragen. Maar een automatisme is het niet.

Arnoud

 

Meta krijgt 200 miljoen euro boete voor ‘betaal of oké’ model Facebook

Photo by Pixabay on Pexels

De Europese Commissie heeft Meta een boete van 200 miljoen euro opgelegd wegens het overtreden van de Digital Markets Act (DMA) met het ‘betaal of oké’ model op Facebook en Instagram. Dat meldde Security.nl vorige week. Dit lijkt het finale doek voor de strategie waarbij je óf een betaald abonnement neemt óf toestemming voor toegang tot je dienst.

In 2023 oordeelde het Hof van Justitie inzake Meta dat het mogelijk moet zijn om toestemming voor tracking in te tracken, sorry trekken, zonder dat je geheel uit de dienst werd gegooid. Er moet een alternatief komen, desnoods tegen een gepaste vergoeding, waar geen tracking in zit:

Thus, those users must be free to refuse individually, in the context of the contractual process, to give their consent to particular data processing operations not necessary for the performance of the contract, without being obliged to refrain entirely from using the service offered by the online social network operator, which means that those users are to be offered, if necessary for an appropriate fee, an equivalent alternative not accompanied by such data processing operations.

Cruciaal hierbij was dat Meta een enorme machtspositie heeft, zodat argumenten van het soort “dan gebruik je het toch gewoon niet” niet opgaan. Meta kwam daarop met een dubbele constructie die men “Pay or consent” noemde: of je betaalt geld, of je betaalt met je persoonsgegevens. Bekt lekker, maar was direct problematisch. Want de AVG eist dat er geen nadeel mag zitten aan het weigeren van toestemming, en ineens moeten betalen terwijl de buurman gratis mag, dat voelt wel nadelig (zeker voor Nederlanders).

Ik blogde toen:

Als ik terugga in waar die term “detriment” of “nadelig gevolg” vandaan kom, dan kom ik bijvoorbeeld bij WP 187 van wat nu de EPDB is. Hieruit haal ik dat iets nadelig is als het zeg maar bestraffend is, je afschrikt die optie te kiezen. Dit halen ze uit eerdere papers over consent bij medische zaken (bij weigering consent geen behandeling, WP 131) en bij het werk (WP 48, bij weigering geen promotie/nieuwe baan).
Helaas komt er geen fundamenteel criterium, maar wordt “als je elke dag op Facebook moet, dan is betalen een vorm van nadeel” als waarheid geponeerd:
Data subjects may suffer detriment if it becomes impossible for them to use a service that is part of their daily lives and has a prominent role.
Let ook op de “may”, die met z’n vriendje “might” regelmatig terugkomt in dit stuk van de analyse. Alles kan – koffie kan, thee kan – maar is dit een theoretische zijsprong of gaat dit over 90% van de gevallen?

Nu is er dus een boete voor deze constructie, zij het opgelegd onder de DMA omdat die het directst toepasbaar is bij het machtige Meta. Het probleem was dat

… it did not give users the required specific choice to opt for a service that uses less of their personal data but is otherwise equivalent to the ‘personalised ads’ service. Meta’s model also did not allow users to exercise their right to freely consent to the combination of their personal data.
Gezien Meta’s macht had zij dus voor een gratis-zonder-tracking versie moeten zorgen naast de betaalde versie. Specifiek omdat de DMA (artikel 5(2) om precies te zijn) dat nadrukkelijk voorschrijft. Dit is dus géén algemene regel die uit de AVG voortvloeit.

Meta heeft in de tussentijd een alternatief opgetuigd met minder tracking. Deze is nog in onderzoek.

Arnoud